Estranho spam

[Alexandre Duran]

Senhores a algum tempo um dos servidores que temos está sendo usado para envio de SPAM em massa - o estranho no caso é que embora seja possivel identificar o dominio, a conta de email em sí não existe (eu mudei o nome do dominoi por DOMINIO e o IP do servidor no texto):

1ddW8d-000otg-3y-H
mailnull 47 12
<amzreg@DOMINIO.com.br>
1501828271 0
-helo_name DOMINIO.com.br
-host_address IPDOSERVIDOR.59033
-interface_address IPDOSERVIDOR.25
-received_protocol esmtps
-aclc _authenticated_local_user 6
amzreg
-body_linecount 31
-max_received_linelength 76
-tls_cipher TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
-tls_sni IPDOSERVIDOR
-tls_ourcert -----BEGIN CERTIFICATE-----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\nbQ==\n-----END CERTIFICATE-----\n
XX
1
ahsoksailo@yahoo.com

289P Received: from [IPDOSERVIDOR] (port=59033 helo=DOMINIO.com.br)
    by node.cluster09server.com with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
    (Exim 4.89)
    (envelope-from <amzreg@DOMINIO.com.br>)
    id 1ddW8d-000otg-3y
    for ahsoksailo@yahoo.com; Fri, 04 Aug 2017 03:31:11 -0300
018  MIME-Version: 1.0
036  Date: Fri, 4 Aug 2017 6:31:11 +0000
067I Message-ID: <3225819580.68069489.1501828270977@DOMINIO.com.br>
059  Subject: It solving problems with your manhood for machos.
032F From: amzreg@DOMINIO.com.br
036R Reply-To: amzreg@DOMINIO.com.br
025T To: ahsoksailo@yahoo.com
023  X-Priority: 3 (Normal)
020  X-Mailer: ESMTP 1.1
092  Content-Type: multipart/alternative;
    boundary="----=_Part_68069498_06735524.1501828271101"

Esse email amzreg@DOMINIO.com.br simplesmente não existe o o pior, vários outros dominios do mesmo server tb estão enviando SPAM da mesma forma, mesmo "usuário" amzreg.

Alguém tem ideia do que pode ser ?

[Alexandre Duran]

Uma pequena atualização: esse amzreg é o login de um dominio do servidor.

[LucasOliveira]

Sei que é óbvio mas o mailphp está bloqueado?

[Alexandre Duran]

2 horas atrás, LucasOliveira disse:

Sei que é óbvio mas o mailphp está bloqueado?

Eu to passando um pente fino neste servidor, creio qu ejá econtri o problema.

Sobre o mailphp eu to pensando seriamente em desabilita-lo em todos os servidores compartilhados. Vc já fez ? Como foi sua experiencia ? Spam diminuiu ?

[RevendaHost]

Parece que seu servidor está sendo usado para fazer relay por uma conta externa. Já que a conta que está enviando não existe no servidor.

[LucasOliveira]

Desabilitando o mailphp apenas SMTP vai poder enviar ou seja e-mail autenticado.

[Cauan]

Amigos, no caso a função seria mail ou mailphp?

Outra coisa que percebi, é que o cliente consegue habilitar as funções desativadas através do seletor de php do easy apache 4, cloudlinux ou com um php.ini. Falo isso porque aqui eu desabilito as funções no php, altero configurações de memory_limit e outros parâmetros do php. Mas os seletores de php e php.ini permitem que o cliente faça conforme quer.

[Fernando Ferenz]

10 minutos atrás, Cauan disse:

Amigos, no caso a função seria mail ou mailphp?

Outra coisa que percebi, é que o cliente consegue habilitar as funções desativadas através do seletor de php do easy apache 4, cloudlinux ou com um php.ini. Falo isso porque aqui eu desabilito as funções no php, altero configurações de memory_limit e outros parâmetros do php. Mas os seletores de php e php.ini permitem que o cliente faça conforme quer.

É só desabilitar o ini_set

[Cauan]

6 minutos atrás, Fernando Ferenz disse:

É só desabilitar o ini_set

Você fala no disable_functions?

Mas tem sistemas que precisam dessa função habilitada, não? Antes eu desabilitava, mas eu mesmo tive problemas por ela estar desativada. Se não me engano o proprio whmcs precisa que ela esteja ativada.

[Fernando Ferenz]

7 minutos atrás, Cauan disse:

Você fala no disable_functions?

Mas tem sistemas que precisam dessa função habilitada, não? Antes eu desabilitava, mas eu mesmo tive problemas por ela estar desativada. Se não me engano o proprio WHMCS precisa que ela esteja ativada.

https://nixcp.com/disable-custom-user-based-php-ini-files-in-cpanel/